简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。
漏洞信息
|
漏洞编号 |
CNVD-2021-95914 |
|
漏洞等级 |
高危 |
|
影响范围 |
Apache Log4j 2 2.0 - 2.14.1 |
|
安全版本 |
Log4j-2.15.0 |
早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
源码级扫描,将风险及时扼杀
阿里云云效代码管理平台 Codeup 的「依赖包漏洞检测」支持在源码层面实时扫描依赖包风险,并提供漏洞修复方案,可针对企业代码库自动扫描漏洞并快速报出,避免人工肉眼排查可能造成的风险遗漏。
本次 Log4j 已被定义为 Blocker 级别高危漏洞,强烈建议尽快升级修复:
如何使用检测
代码库管理员进入仓库设置-集成与服务中开启「依赖包漏洞检测」,请注意 Java 代码需要勾选「设置 Java 检测参数」:
如何修复漏洞
依据检测建议,修改 Apache Log4j 相关依赖版本至最新的 Log4j-2.15.0 。
自动修复漏洞
手动依次更新依赖文件非常繁琐,云效代码管理平台 Codeup 还提供了智能化的漏洞自动修复能力,当检测出存在该安全漏洞时,在「安全」问题列表页面将提供黄色标识,支持一键自动修复漏洞:
极致的云端代码托管保护
本次 Apache Log4j2 开源依赖包漏洞为所有人敲响警钟,企业的代码作为最重要的数字资产之一,很可能正面临着各种安全风险。企业和开发者在解决这个单点问题的同时,还需要思考如何更全面的保障自己的代码数据安全。
阿里云云效代码管理平台 Codeup 提供了丰富的安全服务,在访问安全、数据可信、审计风控、存储安全等角度全方位保障企业代码资产安全,如果你开始重视安全这件事,不妨立即前往云效 Codeup 开始探索。
原文链接
本文为阿里云原创内容,未经允许不得转载。